Google Chrome блокуватиме завантаження небезпечного вмісту на сторінках HTTPS

Починаючи з Chrome 79, Google почне блокувати завантаження незахищених підресурсів HTTP на сторінках HTTPS для посилення безпеки.

Прагнучи захистити користувачів, Google почали позначати веб-сайти HTTP як "незахищені" з Chrome 68 на початку цього року. Завдяки цій зміні користувачам стало легше помітити, коли вони переглядають потенційно небезпечний веб-сайт. Крім того, це також спонукало розробників оновити свої веб-сайти сертифікатами SSL. Тепер, намагаючись посилити безпеку, Google працює над запобіганням завантаженню незахищених субресурсів HTTP на сторінках HTTPS.

У недавньому дописі на Блог Chromium, компанія окреслила кроки для повного блокування змішаного контенту. Для тих, хто не знає, сторінки HTTPS зазвичай мають змішаний вміст, де деякі підресурси небезпечно завантажуються через HTTP. Але хоча браузери за замовчуванням блокують багато типів змішаного вмісту, зображення, аудіо та відео все одно можуть завантажуватися. Це потенційно може дозволити зловмисникам підробити змішаний вміст і поставити під загрозу безпеку користувача.

Тому, починаючи з Chrome 79 далі, браузер поступово блокуватиме весь змішаний вміст за замовчуванням. Щоб запобігти збоям веб-сайтів через зміни, Google автоматично оновить змішані ресурси до HTTPS. Проте користувачі все одно матимуть можливість відмовитися від блокування змішаного вмісту на певних веб-сайтах. Компанія також надала ресурси для розробників, щоб допомогти їм знайти та виправити змішаний вміст на своїх веб-сайтах.

У Chrome 79, стабільний канал якого буде випущено в грудні цього року, Google представить нове налаштування для розблокування змішаного вмісту. Нове налаштування застосовуватиметься до змішаних сценаріїв, iframe та іншого змішаного вмісту, який Chrome наразі блокує за умовчанням. Змішані аудіо- та відеоресурси буде автоматично оновлено до HTTPS у Chrome 80. Якщо ресурси не завантажуються через HTTPS, вони будуть заблоковані. Однак змішані зображення можна буде завантажувати, але вони відображатимуть мітку «Незахищено» в універсальному вікні пошуку.

У наступному оновленні Chrome 81 змішані зображення також буде автоматично оновлено до HTTPS. І знову зображення, які не завантажуються через HTTPS, будуть заблоковані. Розробники, які бажають перенести свій змішаний вміст на HTTPS, можуть перевірити доступні ресурси в офіційній публікації, посилання на яку наведено нижче.


Джерело: Блог Chromium